Kategorie: Aufsichtsbehördliche Maßnahmen

5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

22. Januar 2019

Das kleine Versandunternehmen Kolibri Image wurde von der Hamburger Datenschutzbehörde aufgefordert, ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Grund hierfür war nach Art. 83 Abs. 4 lit. a DSGVO das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Versandunternehmens.

Ausgangspunkt für das Bußgeld war, dass Kolibri Image sich im Mai 2018 an den Hessischen Datenschutzbeauftragten gewandt hatte, weil der spanische Dienstleister trotz mehrfacher Anforderungen keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde erwiderte, dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages sowohl den Verarbeiter als auch den Verantwortlichen treffe. Das Unternehmen solle und müsse deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zwecks Unterschrift übermitteln.

Als Kolibri Image daraufhin antwortete, dass man sich diese Arbeit, insbesondere wegen der teuren Übersetzung, nicht machen wolle, gab die hessische Behörde die Sache an die zuständigen Kollegen aus Hamburg ab. Der Hamburger Datenschutzbeauftragte sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO und hatte deswegen die Geldbuße verhangen. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

Aufgrund von Verstößen gegen die DSGVO muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Datenverarbeitung in Inkassounternehmen

7. Januar 2019

Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) sind vermehrt Anfragen von Verbrauchern zu Datenverarbeitungen bei Inkassounternehmen eingegangen. Das LDI hat daraufhin eine Broschüre herausgegeben, in der auf die häufigsten Fragestellungen eingegangen wird. Diese ist auf den Seiten der LDI NRW unter dem folgenden Link abrufbar:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Inkassounternehmen-und-Datenschutz/Inkassounternehmen-und-Datenschutz.html

In der Broschüre wird unter anderem erläutert, dass Unternehmen zur Eintreibung ihrer nicht bezahlten Forderungen Inkassounternehmen beauftragen können. Hierzu dürfen auch die erforderlichen Daten an das Inkassounternehmen übermittelt werden. Einer Einwilligung des Schuldners bedarf es hierzu grundsätzlich nicht. Die Übermittlung der personenbezogenen Daten kann auf das Vertragsverhältnis und das berechtigte Interesse des Gläubigers gestützt werden.

Das Inkassounternehmen hat aber alle Betroffenenrechte des Schuldners, wie jedes andere datenverarbeitende Unternehmen auch, zu wahren. So können insbesondere Auskunfts- und Löschrechte dem Inkassounternehmen gegenüber geltend gemacht werden. Eine Löschpflicht besteht allerdings nur, wenn die Forderung nicht mehr besteht und keine gesetzlichen Aufbewahrungsfristen einer Löschung entgegenstehen.

Antworten zu weiteren Fragen im Zusammenhang mit der Datenverarbeitung bei Inkassounternehmen, bspw. ob Inkassounternehmen prüfen müssen, ob die Forderung tatsächlich besteht, ob sie auch bestrittene Forderungen eintreiben dürfen, was zu tun ist, wenn eine Forderung tatsächlich nicht besteht und vieles weitere, können Sie der Broschüre entnehmen.

Twitter soll Links sperren

Der Datenschutzbeauftragte Johannes Caspar forderte Twitter zur Sperrung von Links auf, welche im Zusammenhang mit der Veröffentlichung von Daten von Politikern im Internet auftauchten. Der für die Veröffentlichung genutzte Account ist zwar mittlerweile gesperrt, jedoch sind die auf anderen Plattformen befindlichen Daten noch über Links in Form von Retweets und Likes andere Nutzer frei und können somit noch weiterverbreitet werden. Caspar stellte Twitter deshalb auch eine Liste mit Shortlinks bereit, die gelöscht werden sollen. Bisher hat sich Twitter auf diese Aufforderung hin nicht gemeldet. In der deutschen Niederlassung in Hamburg war zudem kein Ansprechpartner erreichbar.

Nun wird versucht, mittels einer an Twitter gerichteten Anordnung, die rechtsverbindliche Sperrung der Links zu erzielen.

Dies wurde in Zusammenarbeit mit der irischen Datenschutzbehörde erwirkt, da sich dort der europäische Hauptsitz von Twitter befindet.

Zeitpunkt der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

19. Dezember 2018

Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.

Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.

Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.

Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.

Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.

Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.

Facebook – 10 Millionen Euro Strafe in Italien

11. Dezember 2018

Facebook ist in Italien zu einer Datenschutzstrafe von zehn Millionen Euro verurteilt worden. Die Wettbewerbsbehörde AGCM störte sich an der Weitergabe von Nutzerdaten bei der Anmeldung mit einem Facebook-Account bei anderen Websites und Apps. Facebook wird eine aggressive Geschäftspraxis vorgeworfen, wenn Daten ohne ausdrückliche Zustimmung der Nutzer an andere Plattformen weitergegeben werden. Die vorgesehenen Abwahl-Möglichkeiten für die Funktion seien nicht ausreichend.

Zudem sei es irreführend, wenn vor der Kontoeröffnung darauf hingewiesen wird, dass die Nutzung kostenlos sei. Denn, dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei für den Nutzer nicht klar ersichtlich. Daher sei zu befürchten, die Nutzer könnten sich anders entscheiden, wenn sie vorher – also vor der Kontoeröffnung – angemessen auf diese Aspekte hingewiesen worden wären.

Facebook selbst erklärte, man prüfe die Entscheidung und hoffe, die Bedenken der Behörde ausräumen zu können. Denn eine Teilung der Nutzerdaten mit anderen Apps oder Websites ohne eine vorherige Zustimmung würde nicht praktiziert.

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

30. November 2018

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

Wunschzetteltradition auf dem Weihnachtsmarkt in Roth endet

19. November 2018

In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den „Wunscherfüller“ weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.

Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die „Wunscherfüller“ zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

DSGVO Abmahnungen von Wettbewerbern-rechtmäßig?

6. November 2018

Immer noch umstritten ist die Frage, ob Verstöße gegen das Datenschutzrecht von Wettbewerbern abgemahnt werden können. Mittlerweile haben sich zwei Gerichte mit unterschiedlichen Ergebnissen damit auseinandergesetzt. Im Gegensatz zu den Richtern des Landgerichts Bochum bejahen die Richter am Landgericht Würzburg die Abmahnfähigkeit von Datenschutzrechtsverstößen.

Das Landgericht Würzburg entschied dies im Falle einer Rechtsanwältin, die mit ihrer Datenschutzerklärung auf ihrer Homepage nicht den gesetzlichen Anforderungen der DSGVO gerecht wurde. Eben dieser Verstoß führe weiterhin zu einem Wettbewerbsverstoß, der abmahnfähig sei.

Im Falle eines Online-Händlers, der seinen Informationspflichten auf seiner Website nicht nachgekommen war, hat das Landgericht Bochum entschieden, dass der Wettbewerber trotz des Verstoßes gegen Artikel 13 DSGVO keinen Anspruch auf Unterlassung habe. Begründet wurde dies damit, dass die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthalte. Ein Argument dafür sei, dass die DSGVO eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthalte. Danach stehe nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Daraus sei zu schließen, dass der Unionsgesetzgeber wohl eine Erstreckung auf Mitbewerber des den Bestimmungen nicht eingehaltenen Wettbewerbers nicht zulassen wolle.

1 2 3 17